用绕过姿势形成SSRF获取印度最大股票经纪公司AWS密码凭据

先生们女士们，今日共享的writeup是创作者在对于印尼较大的个股艺人公司开展安全测试时，根据不一样方面的绕开方法（Bypass），最后获得到该企业AWS登陆密码凭证的全过程。至少采用了WAF绕开，及其深化的web Cache绕开，建立SSRF进攻，最终获得上了总体目标系统软件的AWS登陆密码凭证。（文中的发布早已得到该个股艺人公司批准）。

stock-market.jpg

发觉WAF安全防护

检测一开始，我特别注意到总体目标系统软件的1个服务项目相对路径（Endpoint）会与某些后台管理的文件系统开展互交，因而接下去我也顺理成章地检测了当地文档包括系统漏洞（LFI），以后发觉，总体目标系统软件运用受Cloudflare WAF服务器防火墙维护。给出：

01.pngCloudFlare是一间出示DNS、WAF和DDOS安全防护的云安全经销商，由它出示的安全保障能够非常好地掩藏总体目标网址的真實iP并充分发挥CloudFlare的安全性过虑工作能力，对总体目标网站程序具有维护功效。一般，网络攻击在我不知道网络服务器真實iP的状况下，没办法立即对总体目标系统软件进行进攻。可是，网络攻击也常常会以某些简接方式发觉总体目标网址真實iP，为此来绕开CloudFlare WAF（大量CloudFlare WAF绕开实例请自主百度搜索）。

应用场景这类布署构架的web应用服务器而言，手机客户端进行对运用的post请求，要历经cdn节点、WAF或负载均衡等中间层代理商机器设备，才能真正地抵达后端开发网络服务器中。因此，实质上看，要是了解总体目标系统软件真實iP，我进行的post请求没有后端开发负载均衡或网络服务器过虑白名单之列，那麼就能立即与运用的后端开发服务器进行互交了，那样就能绕开CloudFlare WAF了。逻辑性给出：

02.png

绕开WAF安全防护但又遇到缓存文件服务项目（web Cache)

请相信我，这儿人们会来先发觉总体目标软件系统的真實iP，我简易地实行 “dig WWW.readacted.Com” 指令，居然就找到：

03.png以后，我还在当地的hosts文档中，提升了这条真實iP和其网站域名相匹配的内容，查询网站域名浏览的转变状况，好像是行得通的，那麼，人们融合上边的LFI系统漏洞状况来试一下登陆密码载入。如在URL后再加/etc/passwd指令实行后，竟幸运地获得了下列的合理没有响应：

04.png因此，慢慢，我也随便地绕开了CloudFlare WAF并建立了LFI系统漏洞进攻。接下去，我Whois了该真實iP后发觉，这是1个AWS服务项目构架。构思上了这儿，我觉得下一阶段的总体目标就是说，看一下可否建立SSRF从而读取下至少的AWS账户密码凭证。由于按AWS的特殊网页页面或URL作用布署看来，是将会获得到相对的账户密码信息内容的，但愿如此。很少唠叨，我立刻以该总体目标软件系统真实身份，在URL连接以后，对于AWS官方网的案例元数据案例 – .com://169.254.169.254/latest/meta-data/，进行了1个setpost请求，给出：